技術創新 | 中新網安“獵潛者”成功阻擊加密流量中的APT攻擊!

據Gartner預測,到2019年超過80%的企業網絡流量將被加密。雖然這對于重視隱私的用戶來說是一個福音,但用于保護在線數據的加密技術給APT攻擊提供了藏身之地。如何檢測出加密流量中的威脅,是安全行業一直面對的難題。


概述

中新網安攜自研的“ZXAI”技術,在不解密加密數據的前提下向惡意加密流量發起阻擊戰!2017年11月,中新網安深度異常行為檢測系統發現一起利用國外實時消息推送平臺Pubnub進行APT攻擊案例。雖然攻擊者將惡意流量隱藏在SSL加密流量中且證書合法有效,但依然逃脫不了獵潛者的阻擊。


本次事件的“背鍋俠”-Pubnub

隨著APP應用的發展,云推送技術也正在興起。通過云端與客戶端之間建立穩定、加密、可靠的長連接來為開發者提供向用戶端實時推送消息的服務,另一方面也為開發人員省去了復雜的通訊設計,實現了快速開發的效果。


Pubnub為實時應用通信服務,現在被廣泛應用到主流通信服務,包括Twitter和Facebook等均有合作,Pubnub提供一個數據推送接口和數據提取接口,分別為Publisher和Subscriber,其通信模型如下:

1517108008896406.png

本次APT攻擊具有如下特點:

  • 整個通信過程只需要提供一個Publisher Key和Subscriber Key即可,擁有極高的匿名性,很難溯源;

  • 通信采用HTTPS,回連域名為Pubnub.com,并且HTTPS通信采用的證書合法有效,很難被檢測;

  • Pubnub提供主流開發語言SDK接口,開發成本較低且更容易隱藏在合法流量中。



捕獲過程

事件源于安全分析人員在巡檢時發現系統中出現了一條關于加密遠程控制的告警。

1517108068271269.png

為了進一步確認,在系統的專家檢索模塊中搜索關于這個IP的域名解析記錄,通過域名ps.pndsn.com進行查證后發現是Pubnub公司的API接口。

1517108090687375.png

為了使通信更為便利快速,Pubnub在日本的AWS云平臺上搭建了大量節點,使用CDN進行負載均衡。

1517108225108955.png

繼續對沙盒中的記錄進行檢索,很快找到了通過郵箱進行魚叉式攻擊的文件樣本。該樣本經事后進行逆向分析,采用的是前段時間比較流行的編號為CVE-2017-11882的Office文檔漏洞。

1517108248542516.png

CVE-2017-11882觸發后,連接公網站點進行了主體木馬的下載,隨之運行上線。

1517108323281497.png

1517108346217711.png


線過程還原

1517108371486295.png

在獵潛者系統中的“案件回溯”模塊中,以可視化的效果,也可以完整地刻畫出此次APT攻擊的來龍去脈,以及攻擊者在內網中繼續活動的軌跡。

1517108393340537.png

樣本分析

從代碼中可以看出,CVE-2017-11882漏洞利用成功后,進行了遠程下載執行,如圖:

1517108408161432.png

木馬采用C#語言編寫,在源碼層面進行了很好的免殺處理,通信模塊采用了PUBNUB服務進行數據通信SDK。


木馬的PDB路徑信息,其中包含windows路徑,懷疑作者可能同時開發其他系統的木馬工具。

11.png

上線的配置信息:

12.png

解密后:

13.png


狐貍越來越狡猾

  • 使用HTTPS加密流量進行通信

隨著更多的互聯網轉向加密流量,SSL 流量內的攻擊將變得更加普遍。各種加密技術在防止了用戶的信息泄露從而保障了通信安全的情況下,卻給傳統的檢測設備設下了難題,在安全防御設備幾乎“失明”的情況下如何繼續完成自己的防護職責。


  • 可信域名和SSL證書

不僅僅是此次躺槍的Pubnub擁有正規SSL證書簽名,所有的云消息推送廠商都是安分守己的良心商家,用戶已有的威脅情報信息也無法起到任何作用,為了避免再有類似的躺槍事件,云消息推送廠商都應該對自己的用戶進行更有效地認證和監管,不要因疏忽大意而成為攻擊者的幫兇。


  • 開發成本極低

開放平臺和共享資源盛行的當下,攻擊者的開發成本已經遠遠降低,以Pubnub為例,為用戶提供了50個客戶端SDK庫,可以方便地用各種語言進行遠控的開發,既可以節省多用戶通信方面的設計和開發,又可以有效保障通信的穩定性,借助這些廠家的大量的CDN資源可以大幅度提升通信速度。


  • 魚木混珠

基于這些云消息推送平臺的Websocket、XMPP、MQTT等技術開發的遠程控制軟件,和其他應用軟件、移動端APP應用的網絡通信行為極其相似,像Pubnub這樣的大型廠商,動輒數百萬用戶同時使用的情況下,再加上SSL加密的庇護,如何將“借刀殺人”的攻擊數據有效檢測出來,正是各家安全廠商需要去全力解決的問題。


  • 溯源難度極大

借助這些云消息推送平臺進行木馬上線,一方面由于攻擊者不需要用再租用VPS、注冊上線域名,這些信息的缺失不利于繼續追蹤,另一方面定位到云消息推送廠商后,也沒有條件再進行進一步追溯。



如何磨練成為好獵手

  • 開拓思路,增加檢測維度

傳統的防御設備在依賴于協議識別、邊界防御等基因上就限制了其檢測深度和廣度,中新網安在多年網絡攻防研究基礎上,以基于行為的流量檢測為方向,搜集分析大量惡意樣本及攻擊案例,從下至上,深入分析流量及背景流量特征信息,形成海量訓練樣本數據,在此基礎上,引入人工智能機器學習算法,通過深度學習構建加密流量識別模型,在不解密的情況下仍然可以實現攻擊數據的有效檢測。


  • 由點到面,填補內網防御的空白

我們的團隊近年來一直對世界各國發生的APT攻擊事件進行分析和跟蹤,得到了很多的啟發,在國外頂尖團隊的活動線索中可以發現,除了大家都在關注的WEB滲透、水坑掛馬和魚叉式郵件攻擊等破防手段外,都非常注重在內網中的活動隱蔽性和持久性,我們抓住其在內網中橫向移動、權限控守、內網邊界突破等特點,抓住其必須經過的關鍵點對應的攻擊手段和工具特點,逐個設防,形成一套縱深防御體系,填補邊界防御留下的空白。


  • 與時俱進

攻和防向來是相輔相承,共同成長,正是網絡基礎設施迅速發展的當下,才會有各種新穎的攻擊手段層出不窮,而正是大數據技術、機器學習、數據挖掘的成熟,以及多年進行協議分析的積累,我們才有條件對用戶的實時流量進行接近實時的存儲和分析,使用機器學習來代替人類所無法完成的海量數據分類和統計,從而尋找出隱匿其中的規律,在無休止的攻防對抗的戰斗中,永遠立足于不敗之地。

下载打麻将免费游戏 哪个城市商业银行理财收益高 彩票开奖河北二十选五 河北快三选号 澳洲10是哪个国家的彩票 重庆山东时时彩吗 三分彩是正规的嘛 雪缘网棒球比分直播 比特币平台升级要多久 美人捕鱼下载 武汉麻将游戏下载 3d开奖结果走势图 杀号定胆四川快乐12 刮刮乐透视仪器 秒速飞艇常开哪几组号码 浙江快乐12开奖走势图手机版 大圣捕鱼免费版下载